SafeBreachは8月7日(米国時間)、「Downgrade Attacks Using Windows Updates|SafeBreach」において、Microsoft Windowsから複数のゼロデイの脆弱性を発見したと報じた。これら脆弱性は、発見者により「Windows Downdate」と名付けられており、悪用されると修正パッチをロールバックされる可能性がある。
Windows Downdateは2024年2月にMicrosoftに報告されたが、修正パッチは公開されていない。今回は脆弱性情報調整(CVD: Coordinated Vulnerability Disclosure)の考えに基づき未解決のまま情報が公開された(参考:「JPCERT コーディネーションセンター 脆弱性対策情報」)。
-
Downgrade Attacks Using Windows Updates|SafeBreach
脆弱性の情報
脆弱性に関する情報は次のページにまとまっている。
- CVE-2024-38202 - セキュリティ更新プログラム ガイド - Microsoft - Windows Update Stack Elevation of Privilege Vulnerability
- CVE-2024-21302 - セキュリティ更新プログラム ガイド - Microsoft - Windows Secure Kernel Mode Elevation of Privilege Vulnerability
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-38202 - Windowsバックアップに特権昇格の脆弱性。システムにログイン可能な攻撃者は特権ユーザーによる追加の操作を介して修正パッチのロールバックおよび仮想化ベースのセキュリティ(VBS: Virtualization-based Security)の一部機能を回避する可能性がある
- CVE-2024-21302 - 仮想化ベースのセキュリティをサポートするシステムに特権昇格の脆弱性。管理者権限を持つ攻撃者はWindowsのシステムファイルを古いバージョンに置き換えることができる
脆弱性が存在する製品
脆弱性が存在するとみられる製品およびバージョンは次のとおり。これらは変更される可能性がある。
- Windows 11 Version 23H2
- Windows 11 Version 22H2
- Windows 11 Version 21H2
- Windows 10 Version 22H2
- Windows 10 Version 21H2
- Windows 10 Version 1809
- Windows 10 Version 1607
- Windows 10
- Windows Server 2022, 23H2 Edition
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
影響と対策
Windows Downdateを悪用されると、攻撃者は過去の脆弱性をすべて復元することができる。この変更はWindows Updateから検出されないため、管理者は認識できないという。その結果、攻撃者はセキュリティソリューションを使用しても防御できない脆弱な環境を構成することができる。
これら脆弱性のうち、最も深刻度の高いものは重要(Important)と評価されており注意が必要。Microsoftは修正パッチ提供までの間、軽減策として以下を参考に最小権限の原則を実施するよう推奨している。
- Audit: Audit the use of Backup and Restore privilege (Windows 10) - Windows 10 | Microsoft Learn
- Audit Sensitive Privilege Use - Windows 10 | Microsoft Learn
- Creating a DACL - Win32 apps | Microsoft Learn
- Audit Sensitive Privilege Use - Windows 10 | Microsoft Learn
SafeBreachは報告の最後に、後日これら脆弱性のエクスプロイトを公開する予定と発表した。このエクスプロイトは企業のセキュリティ調査とリスク軽減に活用できるという。
